分享方式:

條件式存取見解和報告

  • 文章

條件式存取見解和報告活頁簿可讓您了解條件式存取原則一段時間內對貴組織的影響。 登入期間,可能會套用一或多個條件式存取原則,若已滿足特定授與控制項,則授與存取權,否則拒絕存取。 每次登入期間都可能會評估多個條件式存取原則,因為見解和報告活頁簿可讓您檢查個別原則或所有原則子集的影響。

必要條件

若要啟用見解和報告活頁簿,您的租用戶必須具有:

  • 用來保留登入記錄資料的 Log Analytics 工作區。
  • Microsoft Entra ID P1 授權以使用條件式存取。

使用者至少必須獲指派安全性讀取者角色,且已指派 Log Analytics 工作區參與者角色。

從 Microsoft Entra ID 將登入記錄串流至 Azure 監視器記錄

如果您尚未將 Microsoft Entra 記錄與 Azure 監視器記錄整合,則必須先執行下列步驟,才會載入活頁簿:

  1. 在 Azure 監視器中建立 Log Analytics 工作區
  2. 整合 Microsoft Entra 記錄與 Azure 監視器記錄

運作方式

若要存取見解和報告活頁簿:

  1. 至少以安全性讀取者 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[條件式存取]>[見解和報告]

入門:選取參數

見解和報告儀表板可讓您查看一或多個條件式存取原則在指定期間內的影響。 首先,在活頁簿頂端設定每個參數。

顯示條件式存取見解和報告活頁簿的螢幕擷取畫面。

條件式存取原則:選取一或多個條件式存取原則以檢視其合併影響。 原則分成兩個群組:已啟用和報告專用的原則。 預設會選取所有 [已啟用] 原則。 這些已啟用原則是目前在您租用戶中強制執行的原則。

時間範圍:選取從 4 小時到回溯為 90天的時間範圍。 如果您選取的時間範圍回推超出 Microsoft Entra 記錄與 Azure 監視器整合時,則只會顯示整合時間之後的登入。

使用者:根據預設,儀表板會顯示所選原則對所有使用者的影響。 若要依個別使用者篩選,請在文字欄位中輸入使用者的名稱。 若要依所有使用者篩選,請在文字欄位中輸入「所有使用者」,或將參數保留空白。

應用程式:根據預設,儀表板會顯示所選原則對所有應用程式的影響。 若要依個別應用程式篩選,請在文字欄位中輸入應用程式的名稱。 若要依所有應用程式篩選,請在文字欄位中輸入「所有應用程式」,或將參數保留空白。

資料檢視:選取您要讓儀表板根據使用者數目或登入數目來顯示結果。在指定的時間範圍內,個別使用者可能會登入許多應用程式數百次,而有許多不同的結果。 如果您選取使用者的資料檢視,則使用者可能同時包含在成功和失敗計數中。 例如,如果有 10 個使用者,其中 8 個使用者在過去 30 天內可能成功過,其中 9 個使用者在過去 30 天內可能失敗過。

影響摘要

設定參數後,就會載入影響摘要。 此摘要會顯示在評估所選原則時,在此時間範圍內有多少使用者或登入的結果是成功失敗需要使用者採取動作未套用

顯示條件式存取活頁簿中影響摘要範例的螢幕擷取畫面。

總計:在至少評估其中一個所選原則的期間內,使用者或登入的數目。

成功:所選原則的合併結果為「成功」或「報告專用:成功」的期間內,使用者或登入的數目。

失敗:所選原則的合併結果為「失敗」或「報告專用:失敗」的期間內,使用者或登入的數目。

需要使用者採取動作:所選原則的合併結果為「報告專用:需要使用者採取動作」的期間內,使用者或登入的數目。 當需要互動式授與控制項 (例如多重要素驗證) 時,則需要使用者採取動作。 由於報告專用的原則不會強制執行互動式授與控制項,因此無法判斷成功或失敗。

未套用:在未套用任何所選原則的期間內,使用者或登入的數目。

了解影響

顯示依條件和狀態的活頁簿明細的螢幕擷取畫面。

針對每個條件檢視使用者或登入的明細。 您可選取活頁簿頂端的其中一個摘要圖格,以篩選特定結果的登入 (例如,成功或失敗)。 您可以查看每個條件式存取條件的登入明細:裝置狀態、裝置平台、用戶端應用程式、位置、應用程式和登入風險。

登入詳細資料

顯示活頁簿登入詳細資訊的螢幕擷取畫面。

您也可在儀表板底部搜尋登入,以調查特定使用者的登入。 查詢會顯示最常出現的使用者。 選取使用者來篩選查詢。

注意

下載登入記錄時,選擇 JSON 格式以包含條件式存取報告專用的結果資料。

在報告專用模式中設定條件式存取原則

在報告專用模式中設定條件式存取原則:

  1. 至少以條件式存取管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[條件式存取]>[原則]
  3. 選取現有原則或建立新原則。
  4. 在 [啟用原則] 下,將切換設為 [報告專用] 模式。
  5. 選取儲存

提示

將現有原則的 [啟用原則] 狀態從 [開啟] 編輯為 [報告專用] 會停用現有的原則強制執行。

疑難排解

為什麼查詢因為權限錯誤而失敗?

若要存取活頁簿,您需要 Microsoft Entra ID 和 Log Analytics 中的適當存取權限。 若要透過執行樣本記錄分析查詢,測試您是否有適當的工作區權限:

  1. 至少以安全性讀取者 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[監視和健康情況]>[Log Analytics]
  3. 在 [查詢] 方塊中輸入 SigninLogs,然後選取 [執行]
  4. 如果查詢未傳回任何結果,則工作區的設定可能不正確。

顯示如何針對失敗查詢進行疑難排解的螢幕擷取畫面。

如需如何將 Microsoft Entra 登入記錄串流至 Log Analytics 工作區的詳細資訊,請參閱將 Microsoft Entra 記錄與 Azure 監視器記錄整合一文。

活頁簿中的查詢為何失敗?

客戶注意到,如果有錯誤或多個與活頁簿相關聯的工作區,查詢有時會失敗。 若要修正這個問題,請選取活頁簿頂端的 [編輯],然後選取 [設定] 齒輪。 選取並移除未與活頁簿相關聯的工作區。 每個活頁簿只能有一個相關聯的工作區。

條件式存取原則參數為何是空的?

原則清單是藉由查看針對最近一次登入事件評估的原則所產生。 如果租用戶中沒有最近的登入,您可能需要等候幾分鐘,讓活頁簿載入條件式存取原則的清單。 空白結果可能會在設定 Log Analytics 之後或租用戶最近沒有登入活動時立即發生。

活頁簿為何需要很長的時間才能載入?

根據所選的時間範圍和您的租用戶大小而定,活頁簿可能會評估極為大量的登入事件。 對於大型租用戶,登入量可能會超過 Log Analytics 的查詢容量。 請嘗試將時間範圍縮短為 4 小時,然後查看活頁簿是否載入。

載入幾分鐘後,活頁簿為何會傳回零筆結果?

當登入量超過 Log Analytics 的查詢容量時,活頁簿就會傳回零筆結果。 請嘗試將時間範圍縮短為 4 小時,然後查看活頁簿是否載入。

我可以儲存參數選取項目嗎?

您可移至 [身分識別]>[監視與健康情況]>[活頁簿]>[條件式存取見解和報告],以儲存活頁簿頂端的參數選取項目。 您會在此找到活頁簿範本,在範本中您可編輯活頁簿並將複本儲存到 [我的報告] 或 [共用報告]中的工作區,包括參數選取項目。

我可使用其他查詢來編輯和自訂活頁簿嗎?

您可移至[身分識別]>[監視與健康情況]>[活頁簿]>[條件式存取見解和報告],以編輯和自訂活頁簿。 您會在此找到活頁簿範本,在範本中您可編輯活頁簿並將複本儲存到 [我的報告] 或 [共用報告]中的工作區,包括參數選取項目。 若要開始編輯查詢,請選取活頁簿頂端的 [編輯]

相關內容